Deskundigen van het security-bedrijf slaagden erin om domeinen te registreren waarmee de Conficker.A-worm (door Symantec W32.Downadup.A genoemd) contact zoekt.

Net als diverse andere hedendaagse virussen zoekt Conficker.A contact met wisselende internetadressen om nieuwe updates binnen te halen. Dagelijks genereert de worm 250 nieuwe domeinen. De makers van de worm kunnen de geïnfecteerde machines van nieuwe opdrachten voorzien door deze domeinen te registreren.

Algoritme

De Symantec-onderzoekers kraakten het algoritme waarmee Conficker de domeinen genereert. Met behulp van deze informatie kan Symantec de betreffende domeinen blokkeren. Bovendien was het zo mogelijk om enkele domeinen te claimen. Het Symantec Intelligence Analysis Team stelde vervolgens vast dat in een week tijd meer dan 3 miljoen unieke IP-adressen probeerden contact te leggen met één van de domeinen.

De onderzoekers vermoeden dat het totaal aantal geïnfecteerde machines nog hoger ligt. Zo maken computers in een (bedrijfs)netwerk vaak gebruik van één IP-adres. Daarnaast staat het niet vast dat een geïnfecteerde pc dagelijks met alle 250 mogelijke domeinen contact maakt.

Niet up-to-date

Meer dan de helft van de geïnfecteerde computers draaien op Windows XP Service Pack 1 of ouder. Machines zijn kwetsbaar als de nood-patch die Microsoft in oktober uitbracht voor een lek in de remote procedure call (RPC, onder meer bedoeld voor het delen van bestanden en printers) niet is geïnstalleerd.

Op 30 december dook er een variant op van Conficker.A: Conficker.B. Ook deze malware zorgt voor de nodige overlast, zo bleek uit een bericht van Roger Halbheer, chief security advisor bij Microsoft, van eerder deze week. F-Secure heeft een tool (.zip) online gezet waarmee gebruikers de malware kunnen verwijderen.

Bron: Techworld.nl